Multi-License Discount Quote
Baza e të dhënave të kërcënimeve Backdoors Xctdoor Backdoor

Xctdoor Backdoor

Nga MezoBackdoors, Advanced Persistent Threat (APT)
Përkthe në:
Shqip

Serveri përditësues i një shitësi të një furnizuesi të ERP të Koresë së Jugut (Planifikimi i Burimeve të Ndërmarrjes) u zbulua i komprometuar, duke shpërndarë një derë të pasme të bazuar në Go të quajtur Xctdoor. Studiuesit e zbuluan këtë sulm në maj 2024, dhe megjithëse nuk vunë në dukje një aktor apo grup specifik kërcënimi, ata vunë re ngjashmëri me taktikat e përdorura nga Andariel , një nëngrup i lidhur me grupin famëkeq Lazarus .

Këto taktika i bëjnë jehonë incidenteve të kaluara që përfshijnë kundërshtarin e Koresë së Veriut, i cili më parë shfrytëzoi zgjidhjen ERP për të shpërndarë malware si HotCroissant (i njohur gjithashtu si Rifdoor ) në 2017. Kjo u arrit duke futur kodin keqdashës në një mekanizëm përditësimi të softuerit.

Xctdoor Backdoor u siguron sulmuesve aftësi të shumta të dëmshme

Gjatë analizës së sulmit, u përcaktua se ekzekutuesi u ndryshua për të ekzekutuar një skedar DLL nga një shteg specifik duke përdorur procesin regsvr32.exe në vend që të fillonte një shkarkues. Ky skedar DLL, i njohur si Xctdoor, posedon aftësi për kapjen e informacionit të sistemit si goditjet e tastieve, pamjet e ekranit dhe përmbajtjet e kujtesës, dhe ekzekutimin e komandave të lëshuara nga sulmuesi.

Xctdoor komunikon me një server Command-and-Control (C2) mbi HTTP, me enkriptim të paketave duke përdorur algoritmet Mersenne Twister (MT19937) dhe Base64. Sulmi përfshin gjithashtu një variant tjetër malware të quajtur XcLoader, i krijuar për të injektuar Xctdoor në procese legjitime si 'explorer.exe'. Gjetjet e fundit tregojnë raste kur serverët e uebit të siguruar në mënyrë joadekuate janë komprometuar për të instaluar XcLoader që të paktën që nga marsi 2024.

I njëjti proces i keqpërdorur nga kërcënime të tjera malware

Procesi regsvr32.exe është shfrytëzuar në fushata të tjera të lidhura me Korenë e Veriut, veçanërisht nga grupi Kimsuky APT. Ata kanë përdorur një derë të pasme të pazbuluar të quajtur HappyDoor, funksionale që të paktën që nga korriku 2021.

Këto sekuenca sulmi zakonisht fillojnë me email-e spear-phishing që shpërndajnë një skedar të ngjeshur. Brenda këtij arkivi, gjendet një JavaScript ose pikatore e turbullt, e cila, pas ekzekutimit, lëshon HappyDoor së bashku me një skedar decoy. HappyDoor, i implementuar si një skedar DLL përmes regsvr32.exe, vendos komunikimin me një server në distancë nëpërmjet HTTP. Funksionalitetet e tij përfshijnë vjedhjen e të dhënave, aftësitë e shkarkimit/ngarkimit të skedarëve dhe aftësinë për të vetë-azhurnuar dhe përfunduar proceset.

Infeksionet e pasme mund të kenë pasoja të rënda për viktimat

Viktimat e infeksioneve të malware të pasme mund të përballen me pasoja të rënda për shkak të natyrës së fshehtë dhe të vazhdueshme të këtyre kërcënimeve. Këtu janë disa ndikime të mundshme:

  • Vjedhja e të dhënave : Backdoors shpesh i lejojnë sulmuesit të mbledhin informacione private si kredencialet e hyrjes, të dhënat financiare, pronën intelektuale dhe skedarët personalë. Këto të dhëna të mbledhura mund të shfrytëzohen për përfitime financiare ose të përdoren në sulme të mëtejshme.
  • Mbikëqyrja dhe monitorimi : Dyert e pasme mund t'u mundësojnë sulmuesve të monitorojnë dhe vëzhgojnë aktivitetet e viktimës, duke përfshirë goditjet e tastave, pamjet e ekranit, furnizimet e kamerës së internetit dhe hyrjen e mikrofonit. Ky pushtim i privatësisë mund të çojë në spiunazh personal ose korporativ.
  • Qasje e paautorizuar : Sulmuesit mund të fitojnë akses të paautorizuar të zgjatur në sistemet e komprometuara. Kjo qasje mund të përdoret për të manipuluar ose sabotuar sisteme, për të ndërprerë operacionet apo edhe për të vendosur programe të dëmshme shtesë.
  • Kompromisi i sistemit : Dyert e pasme shpesh dobësojnë pozicionin e përgjithshëm të sigurisë së sistemit, duke e bërë atë të prekshëm ndaj shfrytëzimit të mëtejshëm. Kjo mund të çojë në kompromentimin e sistemeve ose burimeve të tjera të lidhura brenda rrjetit.
  • Humbje financiare : Bizneset mund të pësojnë humbje financiare për shkak të vjedhjes së fondeve, humbjes së mundësive të biznesit, detyrimeve ligjore dhe kostove që lidhen me përpjekjet për riparim dhe rikuperim.
  • Dëmtimi i reputacionit : Për organizatat, një infeksion i prapambetur mund të çojë në dëmtim të reputacionit, humbje të besimit të klientit dhe ulje të vlerës së markës. Kjo mund të ketë pasoja afatgjata në marrëdhëniet dhe operacionet e biznesit.
  • Ndërprerja e funksionimit : Dyert e pasme mund të prishin funksionimin normal duke shkaktuar prishje të sistemit, ngadalësim ose mohim të kushteve të shërbimit. Kjo mund të rezultojë në kohë joproduktive, humbje të produktivitetit dhe ndikime financiare për shkak të shërbimeve të ndërprera.
  • Çështjet rregullatore dhe të pajtueshmërisë : Organizatat mund të përballen me gjoba rregullatore dhe pasoja ligjore nëse sistemet e komprometuara trajtojnë të dhëna të ndjeshme që i nënshtrohen ligjeve të privatësisë ose rregulloreve të industrisë.
  • Vështirësia në zbulimin dhe heqjen : Dyert e pasme janë krijuar për të shmangur zbulimin nga masat e sigurisë si softueri kundër malware dhe muret e zjarrit. Zbulimi dhe heqja e tyre plotësisht mund të jetë sfiduese, duke kërkuar njohuri dhe mjete të specializuara.
  • Dobësia afatgjatë : Edhe pas riparimit fillestar, sistemet e komprometuara mund të mbeten të prekshme ndaj sulmeve të ardhshme ose përpjekjeve të vazhdueshme të riaktivizimit të prapaskenave nga sulmues të vendosur.

Në përgjithësi, pasojat e infeksioneve me malware të pasme mund të jenë të rënda dhe të shumëanshme, duke ndikuar si individët ashtu edhe organizatat në aspektin e dëmtimit financiar, operacional dhe reputacionit, si dhe duke rrezikuar privatësinë dhe sigurinë e tyre.

Në trend

Më e shikuara

Po ngarkohet...